Pesquisar

26 de ago de 2008

Trojans que se ocultam em arquivos zipados protegidos por senha.

O que fazer antes da decisão fatal de formatar tudo e começar do zero? Confira se o seu disco rígido não tem arquivos suspeitos com terminação ZIP e senha.

O caso do Trojan-Dropper.Win32.Delf.ara - quando o antivírus não consegue limpar.
Antes de chegar à extrema unção da formatação, há possibilidade de se tentar um último recurso. O computador de um cliente, mesmo rodando o Kaspersky Combo, foi infectado de tal maneira que o antivírus acusava o Trojan Trojan-Dropper.Win32.Delf.ara, que era deletado e ele reaparecia.

Os sintomas adicionais eram: mudança da página inicial do brower, dificuldades de conexão com a Internet, lentidão na inicialização do sistema e a impossibilidade do Kaspersky realizar as atualizações do banco de dados de assinaturas.

Trabalhando com o próprio sistema do computador infectado, ficou extremamente difícil escanear os arquivos e proceder as limpezas, pois intuí que o vírus ficava alojado em arquivos inacessíveis ao antivírus.

Detalhe: este computador já estava com o Sistema de Restauração do Windows desligado há tempos, ou seja, não havia como o vírus se refugiar lá, como acontece com algumas cepas de deste bixos.

Escaneando o HD numa máquina limpa.
A minha decisão foi retirar o HD da máquina e colocá-lo como “slave” numa máquina limpa e proceder o escaneamento. Para a minha surpresa, o Kaspersky do outro computador não acusou vírus algum. Apesar dele não ter detectado a presença de nenhum vírus sequer, eu tinha certeza que havia vírus, só não sabia onde ele, ou eles estavam alojados.

Decidi então fazer alterar as configurações de verificação do Kaspersky, para que ele fizesse a varredura em ARQUIVOS COMPACTADOS PROTEGIDOS POR SENHA. Terminada a verificação, percebi no relatório vários arquivos espalhados no disco com a extenção .ZIP e com senha.

Ora, eu tinha acabado de descobrir onde os endiabrados estavam escondidos! A cada vez que o sistema inicializava, de alguma maneira os vírus pulavam para fora dos arquivos zipados, infectavam o sistema e faziam o baile. Os escritores de vírus se adiantaram diante da capacidade adquirida pelos antivírus de rastrear arquivos compactados e passaram a encapsular os arquivos matriz com senha. Assim, os antivírus se tornam impotentes para detectar possíveis ameaças dentro deste tipo de arquivos.

Solução:
Com base no relatório do Kaspersky, deletei sistematicamente todos os arquivos ZIP que continham senha, já que sabia que o usuário não os tinha criado e nem, tampouco, o sistema.
O problema foi resolvido e não precisei formatar o HD.

Dica aos usuários:
Periodicamente acione a verificação geral do seu antivírus, habilitando o escaneamento de arquivos zipados protegidos por senha e configure a sensibilidade do motor heurístico para o nível máximo. Todos os arquivos compactados com senha, que não forem seus, devem ser apagados. Os arquivos com extensão DLL que tiverem senha, também são suspeitos.

Sugestão aos Fabricantes de Antivírus:
Os produtos de segurança não podem mais conviver pacificamente com arquivos compactados protegidos por senha. É chegada a hora deles criarem um formulário dentro dos seus aplicativos onde fosse possível registrar os arquivos compactados com senha que tenham sido gerados pelo próprio usuário. Como o sistema não gera este tipo de arquivo, o restante dos arquivos compactados com senha teriam que ser simplesmente deletados.

5 comentários:

  1. Uma boa opção pra escanear é com um live CD do Windows. O programa UBCD4Win gera esse tipo de CD com vários aplicativos, incluindo programas de segurança.

    ResponderExcluir
  2. Saberia informar no Antivirus Avast onde acho estas configurações para habilitar o mesmo a escanear estes "Arquivos protegidos por senha"? Pois o Avast, ao escanear o sistema(escaneamento lento), está me apresentando dezenas deles que aumentam a cada dia e o computador está mostrando todos estes sintomas de que está com virus.
    Contudo, embora meu Avast seja pago, ele nao valeu de nada para prevenir esta entrada de virus e nem está valendo para remove-lo, pois ele mostra apenas a mensagem que não pode escanear, pois o arquivo é protegido por senha.
    Obrigada

    ResponderExcluir
  3. o meu deu a mesma coisa ;( baixei o malwarebytes anti-malware e estou escaneando talvez assim de para colocar em qrt

    ResponderExcluir
  4. repetindo a pergunta do amigo, e guardando resposta, grato'Saberia informar no Antivirus Avast onde acho estas configurações para habilitar o mesmo a escanear estes "Arquivos protegidos por senha"? Pois o Avast, ao escanear o sistema(escaneamento lento), está me apresentando dezenas deles que aumentam a cada dia e o computador está mostrando todos estes sintomas de que está com virus´´.
    Contudo, embora meu Avast seja pago, ele nao valeu de nada para prevenir esta entrada de virus e nem está valendo para remove-lo, pois ele mostra apenas a mensagem que não pode escanear, pois o arquivo é protegido por senha´´.
    Obrigado

    ResponderExcluir
    Respostas
    1. A versão Home do Avast não permite configurações para arquivos zipados, só a profissional. Sugiro que delete manualmente os arquivos protegidos por senha.

      Excluir